스턱스넷 등 파괴적인 멀웨어 활동하는 경우 극히 드물어
표적형 공격으로 물리적 피해 입히려면 엔지니어 수준 지식 필요

[보안뉴스 문가용 기자] 공식 지멘스 PLC 소프트웨어인 것처럼 가장한 범죄용 소프트웨어가 산업 시설에 돌아다니고 있다는 소식이다. 이 멀웨어는 논리 제어기 설치 파일로 위장된 채 약 10곳의 산업 시설을 이미 타격한 상태라고 한다. 그 중 7곳은 미국에 위치해 있으며, 나머지는 유럽과 중국에 있다. 이는 보안 전문업체인 드라고스(Dragos)가 발표한 내용이다.


“산업 시설 운영자 일부로서는 속기 쉬운 형태로 되어 있습니다. PLC 운영에 필요한 파일처럼 보이니까요. 하지만 실상은 백도어죠.” 드라고스의 CEO인 로버트 M 리(Robert M. Lee)의 설명이다. 로버트는 동료인 벤 밀러(Ben Miller)와 함께 산업 제어 시스템 환경에서 약 15000개의 멀웨어 샘플을 3개월 간 수집해 분석했다. 실제 ICS 환경에서 벌어지고 있는 공격 현황에 대해 사실적으로 파악하고자 함이었다.

그 결과 두 사람은 먼저 보안 업계에서는 흔히 발견되는 ‘일상적인’ 멀웨어들을 찾아낼 수 있었다. “사실 두 번째 스턱스넷을 우리가 처음 발견하게 되는 건 아닐까 하는 두근거림도 있었는데, 저희가 발견하는 것들은 대부분 평범한 것들이었습니다.” 이들이 말하는 ‘평범한 멀웨어’는 스턱스넷이나 블랙에너지2처럼 파괴적인 기능을 가지고 있지 않은 멀웨어들을 말한다.

가장 많이 발견된 ‘평범한’ 멀웨어는 시비스(Sivis)였다. 총 15863 건이 탐지되었다. 그 뒤로는 6830 건의 레이머(Lamer), 3716 건의 램닛(Ramnit), 2909 건의 신왈(Sinwal), 1814 건의 바이룻(Virut), 1225 건의 설리티(Sality)가 순위에 올랐다. 또한 이러한 ‘일상적인’ 멀웨어에 당하는 산업 시설이 1년에 약 3천 곳에 달한다는 걸 발견했다.

“산업 시설에 대한 사이버 위협이라고 하면 다들 차기 스턱스넷 같은 걸 기대하고 또 예상합니다. 저도 그랬고요. 하지만 뚜껑을 열어보니 굳이 스턱스넷까지 가지 않더라도 산업 시설물들이 끊임없이 공격을 받고 있다는 거죠. ICS에서도 일반적으로 발견되는 백도어가 다수 발견된다는 게 더 큰일일까요, 아니면 스턱스넷이 등장하는 게 더 큰일일까요?” 뿐만 아니라 이 두 전문가는 표적형 공격보다 무작위 공격이 훨씬 많다는 사실 또한 발견했다.

하지만 로버트는 “이렇게나 많은 멀웨어들이 이렇게나 많은 공격을 실시하고 있다고 해서 산업 시설들이 당장 문을 닫고 이 문제를 해결해야 하거나 폭파할 위기에 처했다는 건 아니”라고 설명한다. “그저 현실 상태를 그대로 보여주는 것에 의의가 있는 연구 결과입니다. 현재 ICS에는 무작위 멀웨어 공격이 많이 벌어지고 있고, 그 멀웨어들은 대부분 일반 사이버 환경에서 발견되는 것들이다, 가 바로 그 결과죠. ‘ICS를 겨냥한 사이버 공격’이라는 표현이 주는 것만큼, 혹은 스턱스넷이 선례를 만든 것만큼 무시무시하거나 해결 못할 일이 벌어지는 게 아니라는 겁니다.”

로버트는 오히려 “산업 시설용 설치 파일과 관리 파일 등이 너무 구하기 쉽다는 것이 더 문제”라고 지적한다. 이런 파일을 아무나 다운로드 받아 퍼트릴 수 있으니 파일 조작이 들어가고, 합법적인 파일인 것처럼 위장된다는 거다. “사람 장치 간 인터페이스(HMI) 설치 파일, 데이터 히스토리 설치 파일, 키 생성 소프트웨어 설치 파일 등 그 종류도 다양하죠. 누가 잡아채도 몰라요.”

한편 로버트와 밀러는 “ICS 시스템을 겨냥해서 파괴적인 공격을 감행하는 게 그리 간단한 일은 아니”라고 설명한다. 시스템 자체와 공장 시설에 대한 해박한 지식을 필요로 하기 때문이다. 심지어 해당 시설의 설계도면과 공정 프로세스를 외울 정도로 잘 알고 있어야 한다. “그렇지만 이런 지식이 인터넷 검색을 통해서 문건 몇 개 다운로드 받아 익힐 수 있는 수준의 것이 아닙니다.”

랭그너 커뮤니케이션즈(Langner Communications)의 랄프 랭그너(Ralph Langner)는 “ICS를 겨냥해 사이버 공격을 해 물리적인 피해를 일으키려면 엔지니어 수준의 지식이 기본적으로 있어야 한다”고 말한다. “그것도 일반 엔지니어가 아니라 겨냥한 시설에서 오래 근무한 엔지니어입니다. 멀웨어를 제작하고 고난이도 해킹을 할 줄 아는 것과 별개로 말이죠.”

그러면 왜 현재 ICS에서는 ‘평범한’ 멀웨어들이 득실대는 것일까? 드라고스 측은 “우리가 발견한 멀웨어들로 스파잉 행위를 할 수는 있다”고 한 가지 가설을 제기한다. “멀웨어를 통해 물리적 위치, 자산의 공식 소유주, 환경설정 상태, 대략적인 공정과 기기/장비들에 대한 정보를 가져갈 수는 있습니다. 이는 사실 꽤나 중요한 것으로, 이런 정보가 축적되면 물리적인 피해를 주기에 충분한 지식이 되지 않을까 합니다.”

산업 통제 시스템 전문가인 조셉 웨이스(Joseph Weiss)는 “ICS 시스템에 멀웨어가 많이 있는 건 사실”이라고 이번 보고서의 결론을 확증했다. “이렇게 공격이 비교적 가벼울 때 미리미리 사이버 보안 시스템을 도입하고 전략을 마련해야 합니다. 또한 ICS 관련 중요 파일들의 유통 경로도 미리 안전하게 다시 마련해야겠죠. 지금이 마지막 기회인 것인지도 모릅니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>